Kuzey Koreli gelişmiş kalıcı tehdit (APT) Lazarus, Apple’ın M1 çipli Mac’leri hedef alan devam eden Operasyon Giriş(ter)ception kampanyasıyla daha geniş bir ağ oluşturuyor.
Devlet destekli grup, sahte iş fırsatları kisvesi altında kimlik avı saldırıları başlatmaya yönelik tercih edilen yaklaşımını sürdürüyor. Uç nokta tespit sağlayıcısı ESET’teki tehdit araştırmacıları, bu hafta, popüler kripto para borsası operatöründe bir mühendislik yöneticisi pozisyonu için iş tanımı olarak kamufle edilmiş bir Mac yürütülebilir dosyasını keşfettiği konusunda uyardı. madeni para tabanı.
Göre ESET’in Twitter’daki uyarısı, Lazarus sahte iş teklifini Brezilya’dan VirusTotal’a yükledi. Lazarus, kötü amaçlı yazılımın en son yinelemesini tasarladı Interception.dll, üç dosya yükleyerek Mac’lerde yürütülmek üzere tasarlandı: uyarıya göre sahte Coinbase iş ilanı ve iki yürütülebilir dosya, FinderFontsUpdater.app ve safarifontsagent içeren bir PDF belgesi. İkili, hem Intel işlemciler hem de Apple’ın yeni M1 yonga seti ile çalışan Mac’leri tehlikeye atabilir.
ESET araştırmacıları araştırmaya başladı Operasyonda(ter)sepsiyon yaklaşık üç yıl önce, araştırmacıları havacılık ve askeri şirketlere yönelik saldırılar keşfettiğinde. Kampanyanın birincil amacının casusluk olduğunu belirlediler, ancak saldırganların operasyonu tamamlamak için bir iş e-postası güvenliği (BEC) aracılığıyla bir kurbanın e-posta hesabını kullandıklarını da buldular. Interception.dll kötü amaçlı yazılımı, genellikle LinkedIn kullanarak, şüphelenmeyen kurbanları cezbetmek için zorlayıcı ancak sahte iş teklifleri sunar.
Mac saldırısı, Lazarus’un son aylarda artan In(ter)ception Operasyonunu hızlandırmak için sürdürdüğü çabaların sonuncusu. ESET yayınlandı ayrıntılı bir beyaz kağıt iki yıl önce Lazarus’un taktiği üzerine.
Apple Tarafından Azaltılan Risk
İronik olarak, çekici Coinbase iş ilanı teknik odaklı insanları hedefliyor.
ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Peter Kalnai, “Saldırganların doğrudan temas halinde olduğundan şüpheleniyoruz, bu nedenle kurbana Coinbase’in ‘hayalindeki iş’ teklifini görmek için görünen açılır pencereleri tıklaması talimatı verildi,” diye açıklıyor. Karanlık Okuma.
Apple, ESET’in kampanya şirketini uyarmasından sonra, kötü amaçlı yazılımın geçen hafta sonlarında yürütülmesini sağlayacak sertifikayı iptal etti. Kalnai, kullanıcının temel güvenlik bilincine sahip olduğu varsayılarak, artık macOS Catalina v10.15 veya sonraki sürümlerine sahip bilgisayarların korunduğunu belirtiyor.
“Sertifika iptal edildi, bu yüzden kullanıcı onu izin verilen uygulamalara ekleyene kadar onu yürütmek mümkün değil” dedi. “Ancak o zaman, saldırganlar kurbanı bu engelleri yürütme yoluyla aşmak için kandırmaya yetecek kadar ikna etmeye başladıklarında bu bir tehdit olarak kalır. Ayrıca, saldırganlar kurbanlarına yaklaştıklarında, büyük olasılıkla sertifikanın iptal edilmediğini ve sertifikanın iptal edilmediğini doğrularlar. yani, yeni, iptal edilmemiş bir sertifika oluşturabilirler.”
Devam eden kampanya ve Kuzey Kore’den diğerleri, hükümet yetkilileri için sinir bozucu olmaya devam ediyor. FBI Lazarus’u suçladı 625 milyon dolar çalmak için popüler NFT oyunu Axie Infinity için bir blok zinciri platformu işleten Ronin Network’ten kripto para biriminde.
Hem Obama hem de Trump yönetimlerinde Beyaz Saray’da siber güvenlik politikasından sorumlu kıdemli direktör olarak görev yapan Andrew Grotto, Kuzey Kore’nin dünyanın en saldırgan tehdit aktörlerinden biri haline gelmek isteyen bir düşmandan doğduğunu söylüyor.
Şu anda şirketin direktörü olan Grotto, “Kuzey Kore gerçekten hızlı bir şekilde zanaat yapmak için gerekli olabilecek becerileri kazanmayı başardı” diyor. Stanford Üniversitesi’nde Uluslararası Güvenlik ve İşbirliği Merkezi jeopolitik, teknoloji ve yönetişim programı. “Üst düzey potansiyel suçlar söz konusu olduğunda, en iyi olmasa da en iyi siber operatörlerden biri olarak hızla ortaya çıktılar.”